I Comandi rapidi di Siri, una funzionalità che Apple ha integrato in iOS 12 per consentire di creare una serie di azioni da diverse app (da avviare con un tap o un comando vocale personalizzato), potrebbero essere usati per spaventare o ingannare gli utenti chiedendo riscatti (ransomware), diffondere malware ed estrapolare dati.
È quanto cercano di mostrare con un concept in un filmato alcuni ricercatori di IBM Security. Le Siri Shortcuts sono una funzionalità tra le più interessanti e utili tra quelle disponibili in iOS 12. Apple mette a disposizione la funzione per automatizzare sequenze di operazioni (ne abbiamo parlato qui) consentendo di creare scorciatoie da richiamare al volo, senza bisogno di eseguire manualmente vari passaggi uno dopo l’altro. È anche possibile usare l’app dedicata “Shortcuts” per creare comandi rapidi personalizzati e semplificare le attività quotidiane combinando i passaggi in diverse app.
Shortcuts (“Comandi”, in italiano) include di serie varie azioni e consente di eseguire attività come il semplice spostamento di un file o l’apertura di app, ma anche attività più complesse quali attivare il blocco schermo o caricare contenuti online. Per quanto riguarda specificatamente quest’ultima funzionalità, John Kuhn, esperto di sicurezza di IBM X-Force, ipotizza un possibile uso “malevolo”.
“È possibile usare Siri per scopi malevoli con comandi rapidi per attivare scareware” (software dannosi o comunque di limitata utilità la cui installazione viene suggerita agli utenti tipicamente attraverso tecniche di ingegneria sociale, ndr), riferisce Kuhn, spiegando la possibilità di creare campagne tipo ransom e spaventare le vittime invitandole a pagare riscatti, facendo credere che i loro dati sono nelle mani un attacker remoto.
Secondo Kuhn con le Shortcuts è facile creare ransomware. Un attacker potrebbe usare script per raccogliere dati dal telefono e usarli come ricatto, visualizzando alcuni elementi per dimostrare al malcapitato di essere effettivamente in possesso di alcuni dati. Lo script malevolo potrebbe essere realizzato in modo da aprire una pagina web mostrare dati dell’utente e la richiesta di riscatto.
Lo schema appare quanto meno di difficile attuazione agli occhi di un utente smaliziato ma utenti senza alcuna conoscenza tecnica potrebbero essere ingannati. Kuhn spiega ancora che i Comandi rapidi di Siri possono essere trasformati in worm che inviano automaticamente messaggi a tutti i contatti nella rubrica dell’utente con link che chiedono ad altri utenti di installare script ma anche diffondere link a siti potenzialmente dannosi o malevoli.
Il consiglio di Kuhn e del team e IBM X-Force è di usare con gli script le stesse precauzioni che si adottano con le app e le estensioni per browser. Installare Shortcut per Siri solo da fonti affidabili e prima di aggiungerli alla raccolta, leggere le istruzioni che compaiono (molti utenti accettano tutto senza neanche preoccuparsi di ciò che hanno accettato).